Кражи через СБП растут: отключите переводы без подтверждения
Система быстрых платежей стала основным вектором хищений с банковских счетов российских граждан.
Михаил Тарасов·Обновлено: 14 июня 2026 г.·8 мин
Почему кнопку «отключить СБП» найти не получится
СБП — это не функция конкретного приложения, а платёжная инфраструктура, оператором которой выступает НСПК (Национальная система платёжных карт). Технически она устроена аналогично карточным сетям Visa или Mastercard: банк-участник подключается к системе и получает возможность проводить межбанковские переводы по номеру телефона в режиме реального времени. Отключить для конкретного клиента «участие в СБП» — примерно то же самое, что отключить для него возможность получать переводы на карту Visa. Это базовый протокол взаимодействия между кредитными организациями, а не переключаемая настройка в личном кабинете.
СБП — платёжная инфраструктура, а не функция приложения. Отключить её для отдельного клиента так же невозможно, как запретить входящие звонки на уровне телефонной сети.
Большинство крупных банков — Сбербанк, ВТБ, Альфа-Банк, Тинькофф — в интерфейсах своих приложений не предусматривают опцию полного деактивации СБП. В технической поддержке этих организаций стандартный ответ: «СБП является обязательной частью сервиса, отключение невозможно». Это не вредность и не техническая ограниченность конкретного банка — это архитектурная особенность системы, которая задумывалась как универсальный платёжный инструмент.
Единственный реальный рычаг воздействия — ограничение суммы переводов. Если установить нулевой лимит, система технически не сможет провести исходящий перевод через СБП, даже если мошенник получит доступ к приложению. Но это костыль, а не решение: входящие переводы по СБП при этом продолжают работать в штатном режиме, и для полноценного использования сервиса придётся каждый раз вручную менять лимит.
Настройка нулевых лимитов как единственный способ блокировки переводов
Поскольку полное отключение СБП технически невозможно, остаётся единственный инструмент — настройка лимитов на исходящие переводы. В большинстве банковских приложений эта опция находится в разделе «Настройки безопасности» или «Лимиты операций». Алгоритм:
1. Откройте приложение банка и перейдите в настройки безопасности.
2. Найдите раздел «Лимиты» — он может называться «Ограничения операций», «Лимиты переводов» или «Безопасность переводов».
3. Выберите категорию «Переводы через СБП» или «Переводы по номеру телефона».
4. Установите суточный лимит на уровне 0 рублей (или минимально возможную сумму).
5. Подтвердите изменение через СМС-код или биометрию.
С практической точки зрения нулевой лимит — это режим «только входящие». Деньги по СБП на счёт приходят, а отправить их без изменения настроек невозможно. Для рационального пользователя, который не использует СБП для регулярных платежей, это оптимальный профиль риска: эквайринговый доход от входящих переводов сохраняется, а экспозиция на исходящие мошеннические операции обнуляется.
| Параметр | Нулевой лимит СБП | Стандартный лимит (обычно 150 000 ₽/сутки) | Полное отключение СБП |
|---|---|---|---|
| Исходящие переводы | Заблокированы | Работают в пределах лимита | Технически невозможно |
| Входящие переводы | Работают | Работают | Технически невозможно |
| Уровень защиты от хищений | Максимальный | Базовый | Не применимо |
| Удобство использования | Низкое — ручная смена лимита | Стандартное | Не применимо |
Проблема нулевого лимита — юзабилити. Если пользователю нужно срочно перевести деньги через СБП, он вынужден заходить в настройки, менять лимит, проводить операцию и затем снова выставлять ноль. На это уходит 2–3 минуты, но психологически это барьер, который большинство клиентов предпочитает не преодолевать — и оставляют лимит по умолчанию. Именно на это и рассчитывают мошенники: средний пользователь не станет настраивать безопасность превентивно, если не столкнулся с угрозой лично.
Новые правила защиты: как работают 2 дня заморозки и база данных ЦБ
25 июля 2024 года вступил в силу механизм, кардинально изменивший юридическую рамку противодействия мошенническим переводам. Банк России обязал все кредитные организации проверять исходящие переводы клиентов на признаки мошенничества и приостанавливать подозрительные операции на срок до 48 часов. Это не рекомендация и не опцион — это требование регулятора с чётким дедлайном.
Механизм работает следующим образом. Антифрод-система банка анализирует каждую транзакцию в реальном времени по набору факторов: сумма, частота переводов, тип получателя, совпадение с известными мошенническими паттернами. Если система фиксирует подозрение, операция приостанавливается, а клиент получает уведомление с просьбой подтвердить или отменить перевод. Если в течение 48 часов подтверждения не поступает, деньги возвращаются на счёт отправителя.
Двухдневная заморозка — это не услуга банка, а обязанность по регуляторике. Каждый клиент имеет право требовать, чтобы его банк приостанавливал подозрительные операции без отдельного заявления.
Ключевой нюанс: эффективность этого механизма напрямую зависит от качества антифрод-системы конкретного банка. Если алгоритм не распознал мошеннический паттерн — а социальная инженерия специально заточена под то, чтобы операция выглядела как добровольный перевод от самого клиента — заморозка не сработает. Клиент, который сам вводит данные получателя и подтверждает перевод биометрией, для системы выглядит как легитимный пользователь, действующий осознанно.
Параллельно Банк России ведёт базу данных счетов, задействованных в мошеннических операциях. Если клиент перевёл деньги на счёт, который числится в этой базе, у него появляется юридическое основание для возврата средств по ускоренной процедуре. Но и здесь есть структурное ограничение: база формируется ретроспективно, после зафиксированных случаев мошенничества. Счёт, на который клиент переводит деньги впервые, в базе может не числиться — и тогда стандартный 30-дневный механизм возврата не сработает.
Механика возврата средств по закону № 369-ФЗ: реальные сроки и условия
Закон № 369-ФЗ создал то, что раньше отсутствовало в российском банковском праве — обязательный механизм возврата похищенных средств с фиксированным сроком. Если банк допустил перевод на счёт, находящийся в базе данных ЦБ о случаях и попытках мошеннических операций, кредитная организация обязана вернуть клиенту похищенную сумму в течение 30 календарных дней.
Схема выглядит рационально на бумаге, но на практике содержит несколько условий, которые существенно сужают применимость:
Условие первое — база данных ЦБ. Возврат по ускоренной процедуре возможен только если счёт получателя уже зафиксирован в базе мошеннических операций. Если перевод ушёл на «чистый» счёт, который ещё не попал в статистику, клиенту придётся действовать через стандартные механизмы — заявление в полицию, претензия в банк, возможное судебное разбирательство.
Условие второе — добровольность перевода. Если клиент сам ввёл реквизиты, подтвердил операцию биометрией или СМС-кодом, банк имеет основания классифицировать перевод как добровольный. Даже если клиент действовал под влиянием социальной инженерии — звонка от «сотрудника ЦБ» или «службы безопасности банка» — формально он подтвердил операцию самостоятельно. В этом случае гарантия возврата в 30 дней не действует, и клиенту придётся доказывать факт мошенничества через правоохранительные органы.
Условие третье — сроки. 30 дней — это максимальный срок, в который банк обязан принять решение. Но «принять решение» и «вернуть деньги» — не синонимы. Банк может отказать в возврате, мотивировав это добровольным характером перевода, и тогда клиенту предстоит обжалование через финансовому уполномоченного (омбудсмена) или суд.
Вот как выглядит сравнение механизмов защиты по итогам регуляторных изменений 2024 года:
| Механизм | Условие срабатывания | Срок | Вероятность возврата |
|---|---|---|---|
| Заморозка подозрительной операции | Антифрод-система распознала паттерн | До 48 часов | Высокая, если паттерн распознан |
| Возврат по базе ЦБ (№ 369-ФЗ) | Счёт получателя в базе мошеннических операций | 30 дней | Высокая, если счёт в базе |
| Возврат при добровольном переводе | Необходимо доказать факт мошенничества | От 30 дней до нескольких месяцев | Низкая — зависит от следствия |
Итоговая рентабельность защиты для среднего пользователя: новые механизмы существенно улучшили ситуацию по сравнению с 2023 годом, когда возврат средств был фактически невозможен без судебного решения. Но они работают в ограниченном сценарии — когда мошеннический счёт уже идентифицирован. В сценарии социальной инженерии, где клиент действует «добровольно», юридическая защита остаётся слабой.
Противодействие социальной инженерии: почему настройки безопасности не спасают от звонков «из ЦБ»
Структурная проблема мошенничества через СБП — не в технической уязвимости системы, а в человеческом факторе. Мошенники не взламывают приложения и не подбирают пароли. Они используют методы социальной инженерии, при которых жертва сама совершает перевод, будучи убеждённой в его легитимности.
Типовая схема выглядит так. Клиенту звонит человек, представившийся сотрудником Банка России, МВД или службы безопасности его банка. Звонящий сообщает, что на счёт клиента совершена попытка несанкционированного доступа, и для «защиты средств» необходимо перевести деньги на «безопасный счёт». Жертва, находящаяся в стрессе, переходит по ссылке или вводит реквизиты в приложении банка и подтверждает перевод биометрией. Деньги уходят на счёт мошенника.
Настройки безопасности снижают риски технического взлома, но бессильны против социальной инженерии. Мошеннику не нужен доступ к вашему приложению — ему нужен ваш добровольный перевод.
В этом сценарии ни нулевой лимит (если клиент его не настроил заранее), ни двухдневная заморозка (клиент подтверждает операцию сам, и система не видит аномалии), ни база ЦБ (счёт может быть «чистым») не обеспечивают защиту. Единственный действенный барьер — осведомлённость клиента.
Практические правила, которые снижают экспозицию:
1. Ни один банк и ни один регулятор не звонят клиентам с требованием перевести деньги. Любой звонок с таким запросом — мошенничество с вероятностью, стремящейся к 100%.
2. Не переходите по ссылкам из SMS и мессенджеров, если они ведут на страницы входа в банковское приложение. Проверяйте URL вручную.
3. Установите нулевой лимит на СБП, если не используете сервис регулярно. Это 3 минуты настройки, которые могут сохранить всю сумму на счёте.
4. Включите уведомления обо всех операциях — push, SMS или email. Чем быстрее вы обнаружите несанкционированное списание, тем выше шансы на заморозку и возврат.
5. При любом подозрении звоните в свой банк по номеру, указанному на обратной стороне карты — не по номеру из SMS и не по номеру звонящего.
Для тех, кто хочет глубже разобраться в цифровых сервисах и мобильных решениях для управления финансами, полезным ресурсом будет ormobil.com — там собраны обзоры инструментов, которые реально работают, а не просто декларируют «премиальную безопасность».
Стоимость бездействия: почему нулевой лимит — рациональное решение
Подведём итог в терминах юнит-экономики безопасности. Средний ущерб от мошеннического перевода через СБП — от нескольких тысяч до нескольких сотен тысяч рублей. Стоимость настройки нулевого лимита — 3 минуты времени. Ожидаемая потеря от неоптимального лимита: вероятность мошеннического перевода × средний ущерб. Даже при минимальной вероятности рентабельность настройки очевидна.
Новые регуляторные механизмы 2024 года — заморозка на 48 часов, база ЦБ, 30-дневный срок возврата — существенно улучшили структуру защиты. Но они работают как страховка, а не как превентивный барьер. Страховка покрывает ущерб после наступления страхового случая; нулевой лимит предотвращает сам случай.
Для рационального пользователя оптимальная стратегия — совмещение обоих подходов: техническая настройка (нулевой лимит, уведомления, биометрия) плюс понимание того, как работает юридическая защита и где её границы. Мошенничество через СБП продолжит расти — это вопрос структуры платёжного рынка, а не временного тренда. Но конкретный клиент может свести свой риск к минимуму, не отказываясь от преимуществ быстрых переводов полностью.